Mail Delivery System

[Bang64]

Od jakiegos czasu otrzymuje dużo maili z tytułem Mail Delivery System z adresów do których nigdy nic nie było wysyłane. Proszę o diagnostykę i pomoc w usunięciu problemu.

System Windows 7 Home Premium 64 bit. W załączeniu logi OTL.

OTL.Txt

[picasso]

Przeczytaj zasady działu na temat obowiązkowych logów: KLIK. Raporty OTL (zresztą i tak niepełne - brak Extras) są tylko podrzędne - obowiązkowe raporty z FRST i GMER. Dostarcz.

[Bang64]

Już się poprawiam, wszystko przez brak czasu, nie doczytałem oczywiście.

W załączeniu wszystkie potrzebne raporty.

Pozdrawiam.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

scan Gmer.txt

Shortcut.txt

[picasso]

Zaprezentuj na obrazku / przeklej dane jak te zgłoszenia "Mail Delivery" dokładnie wyglądają. W systemie nie widać oznak czynnej infekcji tego rodzaju, ale jest adware. Wstępne działania:

 

1. Odinstaluj zbędnik McAfee Security Scan Plus ora adware Search App by Ask.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S2 Update Rock Turner; "C:\Program Files (x86)\Rock Turner\updateRockTurner.exe" [X]
S2 Util Rock Turner; "C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe" [X]
Task: {29DC6E06-25D0-48F0-8695-6733BD119C44} - System32\Tasks\{AA4DAA84-33A1-48C9-8139-C0621FFCE833} => pcalua.exe -a D:\SETUP.EXE -d D:\
Task: {2FC00511-8220-438F-B988-1B555D3EEA5B} - System32\Tasks\{478F8840-7ED6-4F0A-95C0-EFB0AC6460E2} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe
Task: {46F11A4F-F52E-4AD4-BEFF-2E738EE0DEEF} - \RegClean Pro_UPDATES No Task File 
Task: {60F456E1-4E9A-4244-A414-322A3F460942} - System32\Tasks\{2621CA98-AFCA-40AE-9113-B59D6884337D} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe
Task: {6858C71A-3E57-481B-AEEC-C74BB499B7EF} - System32\Tasks\{7DAB3B29-D5AC-4899-9721-340D67FE36DD} => C:\Users\ppp\Downloads\Google_Drive_Sciagnij.pl.exe [2014-05-22] ()
Task: {6BE5F5C9-3160-4979-A57F-256F80ACC16C} - System32\Tasks\{A27E26E5-354B-4B5B-9CE9-B26116747095} => pcalua.exe -a C:\Users\ppp\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
Task: {6C8DAA59-211D-4FED-BB44-247FDD8674CD} - System32\Tasks\{1CAF65B0-53D8-4CBF-9476-D2B256787B7E} => C:\Users\ppp\Downloads\N360-TW-21.0.0-EN(1).exe
Task: {6FD379EA-4D23-4C1D-B7C2-0EE2FA14C892} - System32\Tasks\{B6D01BC9-ABE7-4FE9-914A-E4A797B08F34} => C:\Users\ppp\Desktop\Nowy folder\SETUP.EXE
Task: {9D111092-63F4-49FF-B920-F4DF89FE719A} - System32\Tasks\{B07DEC2F-E2A7-4089-AFCD-8D765604AD8C} => pcalua.exe -a H:\SETUP.EXE -d H:\
Task: {A7647A57-EDA4-446C-AA69-3793E2E6612C} - System32\Tasks\RegClean Prosch => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe 
Task: {C22D51CE-BCCA-4791-BE0E-CFE2A53E7A13} - \RegClean Pro_DEFAULT No Task File 
Task: C:\Windows\Tasks\RegClean Prosch.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe 
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417511556&from=cor&uid=ST1000DL002-9TT153_W1V0XXAAXXXXW1V0XXAA"
CHR HKU\S-1-5-21-3130494160-1199666095-3665619860-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-3130494160-1199666095-3665619860-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=n360&pvid=21.5.0.19
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan
C:\Program Files (x86)\AskPartnerNetwork
C:\Users\ppp\AppData\Local\AskPartnerNetwork
C:\Users\ppp\AppData\Roaming\ESET
C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin
C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Recuva
C:\Users\ppp\AppData\Roaming\Opera Software
C:\Users\ppp\AppData\Roaming\RHEng
C:\Users\ppp\AppData\Roaming\rmi
C:\Users\ppp\AppData\Roaming\WebTest
C:\Users\ppp\Desktop\Programy\avast! Free Antivirus.lnk
C:\Users\ppp\Desktop\Programy\Norton 360.lnk
C:\Users\ppp\Desktop\Programy\RegClean Pro.lnk
C:\Users\ppp\Desktop\Programy\SpeedFan.lnk
C:\Users\ppp\Downloads\Google_Drive_Sciagnij.pl.exe
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, DownloadHelper, NetVideoHunter).

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Bang64]

Wykonałem bardzo szczegółowo po kolei wszystkie opisane procedury.

W załączeniu fixlog, nowy FRST oraz zawartość dwóch przykładowych maili Mail Delivery System.

 

Dopiszę jeszcze, choć nie wiem czy to istotne, że po wykonaniu fixlist narzędziem FRST komputer bardzo długo się zamykał aż pojawił się ekran coś o zamknięciu by ochronić system, coś o memory ale nie zdążyłem doczytać, po czym samoczynnie się zresetował a następnie wybrałem opcję Uruchom System Normalnie i już prawidłowo się uruchomił choć znów po dłuższym czasie gdy widać było tylko kursor na czarnym całkowicie tle. Teraz jest OK.

 

 

 

Dopiszę jeszcze tylko, że znów przyszedł taki mail Mail Delivery System tak więc dotychczasowe działania nie przyniosły rezultatu.

FRST.txt

Fixlog.txt

Mail Delivery System przyklad 1.txt

Mail Delivery System przyklad 2.txt

[picasso]

W załączeniu (...) zawartość dwóch przykładowych maili Mail Delivery System.

 

To wygląda na próbę rozsyłania spamu sfałszowaną, by wyglądała jak wysyłana z Twojego konta. Stoi tu filipińskie IP: KLIK.

 

Received: from [49.144.246.7] (helo=wiroart.pl)

 

Porównaj również pola "From" i "To", ta sama dziwna "osoba" przypisana do dwóch różnych adresów e-mail (jako "nadawca" i "odbiorca"):

 

From: Firas Moha Moha

 

vs.

 

To: (...) "Firas Moha Moha" MAŁPAhotmail.com> (...)

 

I jeszcze na dodatek w e-mail szkodliwy link:

 

hxxp://criando-site.net/Cameron.php?Firas_Moha_Moha

 

Pole "From" można podrabiać. Więcej na temat powyższych: KLIK (Method 2 of 2: Send a Fake Email) / KLIK.

 

 

Dopiszę jeszcze tylko, że znów przyszedł taki mail Mail Delivery System tak więc dotychczasowe działania nie przyniosły rezultatu.

Oczywiście, przecież zadane akcje nie miały nic z tym wspólnego:

 

Zaprezentuj na obrazku / przeklej dane jak te zgłoszenia "Mail Delivery" dokładnie wyglądają. W systemie nie widać oznak czynnej infekcji tego rodzaju, ale jest adware.

W raportach po prostu ujawnił się dodatkowy problem właśnie rozwiązany.

[Bang64]

Czy to znaczy, że to już koniec pomocy? Problem byłby rozwiązany gdyby te maile przestały przychodzić. Na razie to diagnoza raczej.

Pozdrawiam.

[picasso]

Czy to znaczy, że to już koniec pomocy? Problem byłby rozwiązany gdyby te maile przestały przychodzić. Na razie to diagnoza raczej.

Przecież podałam Ci powyżej materiały, przeczytaj je:

 

Więcej na temat powyższych: KLIK (Method 2 of 2: Send a Fake Email) / KLIK.

Masz dokładnie opisany proces w obu linkach. Cytuję ponownie:

 

Received: from [49.144.246.7] (helo=wiroart.pl)

 

Rozsyłacz spamu to filipiński serwer, domena wiroart.pl na której masz podpięte konto e-mail została "wylosowana" do spamu, Twój e-mail (i pewnie inne z tej samej domeny) jest używany jako fałszywy nadawca, a e-maile wracają, bo adresy odbiorców spamu są wadliwe. Nie jesteś w stanie tego procesu powstrzymać, bo to się nie dzieje na Twoim poziomie. Jest to frustrujące, ale nie ma możliwości "naprawy" o jakiej myślisz. Spamerzy mogą przestać po jakimś czasie przenosząc się na fałszowanie innej domeny. Ponawiam, przeczytaj powyższy link numer 2. Podawałam też Whois: KLIK. Tam są adresy typu "abuse", na które można zgłosić spam.

 

A czynności kończące czyszczenie adware podam potem.

[Bang64]

Mam dwa konta pocztowe na tej domenie i tylko na jedno przychodzi ten spam, kilkadzesiąt maili dziennie. Czy nie ma żadnego ratunku?

"Spamerzy mogą przestać po jakimś czasie..." czyli równie dobrze mogą nie przestać. Czy np. "wyłączenie" tej skrzynki na dzień lub dwa nie pomoże?

Proszę o cierpliwość, dopytuję tak by wyczerpać wszelkie swoje wątpliwości.

[picasso]

Dopisałam w poście powyżej, byś spróbował zgłosić spam na adresy "abuse", które podaje Whois dla tego adresu IP.

 

 

Mam dwa konta pocztowe na tej domenie i tylko na jedno przychodzi ten spam, kilkadzesiąt maili dziennie.

To co przychodzi to odrzucone wysyłki ze względu na niedostępność skrzynek odbiorców. Wcale nie jest wykluczone, że inny adres e-mail też jest używany jako fałszywy nadawca, tylko może tego nie być "widać", tzn. brak błędów przesyłki i wiadomości dochodzą do skrzynek docelowych. Są to oczywiście spekulacje.